php - 使用 PHP 表单进行数据库输入清理-6ren

php - 使用 PHP 表单进行数据库输入清理

转载作者：行者123 更新时间：2023-11-29 12:31:43

26

4

我通过以下方式清理从表单收到的数据:

$gender = filter_var($_POST['gender'], FILTER_SANITIZE_STRING);
$firstName = filter_var($_POST['firstName'], FILTER_SANITIZE_STRING);
$lastName = filter_var($_POST['lastName'], FILTER_SANITIZE_STRING);
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
$message = filter_var($_POST['comment'], FILTER_SANITIZE_STRING);
$address = filter_var($_POST['address'], FILTER_SANITIZE_STRING);
$numBrochures = (int) filter_var($_POST['quantity'], FILTER_SANITIZE_NUMBER_INT);

插入数据的相关SQL查询如下:

if (mysqli_query($conn, "INSERT INTO users(firstName, lastName, email, gender) VALUES('$firstName', '$lastName', '$email', '$gender')") == TRUE) {
  logSuccess($file, "Adding user");
}
else {
  logError($file, "Adding user", mysqli_error($conn));
}

$userId = $conn->query("SELECT `userId` FROM users WHERE `firstName` = '$firstName' AND `lastName` = '$lastName' AND `email` = '$email'")->fetch_object()->userId;
if ($userId == false) {
  logError($file, "Fetching user id", mysqli_error($conn));

}

if (mysqli_query($conn, "INSERT INTO brochureOrders(userId, address, numBrochures, message) VALUES('$userId', '$address', '$numBrochures', '$message')") == TRUE) {
  logSuccess($file, "Brochure Order");
  $sendConfirmationEmail = true;
}
else {
  logError($file, "Brochure Order", mysqli_error($conn));
}

但是，在我的数据库中，我看到如下条目:

address = "vz8y8E  gghwptvvzuak, [url=http://ytvsmximkjnp.com/]ytvsmximkjnp[/url], [link=http://hiabgyvsjifp.com/]hiabgyvsjifp[/link], http://tyvylndqitoy.com/"

下面的内容不应该解决这个问题吗？

$address = filter_var($_POST['address'], FILTER_SANITIZE_STRING);

有人可以告诉我我在这里做错了什么吗？

最佳答案

因为OP在评论中表示他想切换到准备好的语句，所以我想给他看一个例子。

而不是这样的:

if (mysqli_query($conn, "INSERT INTO users(firstName, lastName, email, gender) VALUES('$firstName', '$lastName', '$email', '$gender')") == TRUE) {
  logSuccess($file, "Adding user");
}
else {
  logError($file, "Adding user", mysqli_error($conn));
}

做这样的事情:

$query = "INSERT INTO users (firstName, lastName, email, gender) VALUES(?, ?, ?, ?)";

if($stmt = $mysqli->prepare($query)){
    $stmt->bind_param('ssss', $firstName, $lastName, $email, $gender);
    $stmt->exeucte();
    $stmt->close();
}else die("Failed to prepare!");

还有这个

$query = "SELECT `userId` FROM users WHERE `firstName` = ? AND `lastName` = ? AND `email` = ?";

if($stmt = $mysqli->prepare($query)){
    $stmt->bind_param('sss', $firstName, $lastName, $email);
    $stmt->execute();
    $stmt->bind_result($userId);
    $stmt->fetch();
    $stmt->close()
}else die("Failed to prepare!");

关于php - 使用 PHP 表单进行数据库输入清理，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/27386175/

26

4

0

文章推荐： php - 如何在mysql中使用like条件与更多单词

文章推荐： PostgreSQL:乌克兰语文本排序错误

文章推荐： sql - postgreSQL 查询 - 在记录的任何字段中查找 id 的存在

文章推荐： PHP in_array() 函数并非在所有情况下都有效

php - 清理/清理 xpath 属性
我需要为元素属性动态构建 XPath 查询，其中属性值由用户提供。我不确定如何清理或清理此值以防止 XPath 等同于 SQL 注入(inject)攻击。例如(在 PHP 中): xpath("//m
PHPMailer 清理
问题很简单:在使用 PHPmailer 类时我应该使用任何类型的清理吗？我制作了使用 phpmailer 类发送电子邮件的简单发送邮件表单。目前我只使用“htmlspecialchars”进行清理(
python - 清理 for 循环中断
你可以在python中创建一个在for循环退出时运行清理代码的迭代吗？就像是: from random import randint class Iterable: def __iter__(
SQLite 清理/碎片和性能下降
假设我定期将数据插入 SQLite 数据库，然后清除前 50% 的数据，但我不清理。我现在是否有类似文件前 50% 的清零页面之类的东西？如果我添加另一批数据，我是否正在填写那些清零的页面？手册中
正则表达式:清理 HTML
我有一堆 HTML 代码，我想在其中删除所有 HTML 标记。我认为 Regex(正则表达式)可以做到这一点。通过搜索和替换，我将如何执行此操作？我尝试了，我认为 * 是通配符，但显然不是。
haskell - FizzBuzz 清理
我仍在学习 Haskell，我想知道是否有一种不太冗长的方法来使用 1 行代码来表达以下语句: map (\x -> (x, (if mod x 3 == 0 then "fizz" else "")
java - 清理/转义进入SSH命令的参数
我需要怎么做才能正确清理/转义程序化SSH命令中输入的参数？例如，路径参数- public boolean exists(String path) { try { Chann
javascript - 清理 Canvas
这个问题已经有答案了: How to clear the canvas for redrawing (25 个回答) 已关闭10 个月前。我目前正在尝试创建一个带有雨滴落下的 Canvas ，我唯一
php - 清理/过滤用户评论的最佳方式？
我目前正在使用此过程来清理/过滤用户输入的评论 -> 这个是用来去掉斜线的……和 if (get_magic_quotes_gpc()) { function stripslashe
plone - 清理 portal_setup
是否可以在 portal_setup 中删除旧的导入配置文件。目前，我的网站上有许多可追溯到 2009 年的条目:: import-all-profile-Products.Archetypes_
angularjs - 清理/销毁指令的正确方法是什么？
假设我有多个指令，包括以下内容: ...template content... ...template content... 你如何销毁指令？通常我会在 jquery 中做一些我 $('#2').re
java - 如何删除java程序生成的临时文件(清理)？
我正在开发一个可移植java应用程序，它可以在用户的PC(Windows XP)上动态生成一些文件。现在，我想要的是在java程序退出后删除这些临时文件。显然，java的文件删除机制是不可信的。即
清理 argv 程序
我有一个 argv c 程序，它反转单词，并查看它是否是回文。我只是想清理输出并让它打印原始输入而不是相反的输入，但由于它是 argv，我似乎不知道该怎么做。 int main(int argc, c
Javascript:清理 Markdown
我的网页上有一篇用 markdown 写的文章，我想在索引页上显示一份简短的简历。问题是正文有markdown，我想在简历上显示纯文本。例如: Article text: Hello people
清理 C 代码中的指针
在下面的代码片段中，可以做些什么来a)让编译器安静，b)清理交叉的指针困惑？ extern struct tree *sintablein[sintablesize]; struct tree *(*
Java WeakHashMap 清理
我试图弄清楚 WeakHashMap 在垃圾收集后如何清理。正如你们中许多人可能知道的那样，当 WeakHashMap 条目的键被垃圾回收时，它会自动删除。但是，例如，如果我做这样的事情: List>
java - 清理、构建和构建之间的区别？
我对构建的理解是，它只编译上次构建中编辑过的Java文件，而干净构建将删除所有类文件并重新编译所有文件。那么，当单独构建就足以满足我提供最新版本的类文件的需要时，干净构建的效用是什么？最佳答案有时
postgresql 复制 + 清理
是否有任何简单的(内置的、附加的、开源的或商业的)在 Postgresql(主从)上进行复制，以便在复制时清理从属内部的数据以符合 PCI 合规性？ ETL工具怎么样？它不一定是瞬时的……最多一个小时
MySQL HTML 清理
我有一个将数据保存到 MySQL 数据库的网站在将 HTML 插入 MySQL 或在我的网站上显示它时，我应该转义 HTML 吗？理想情况下，我想将原始 HTML 输入到我的数据库中，并在每次从中
php - 清理/转义用户输入和输出
我知道我已经asked一个关于 sanitizer 和转义的问题，但我有一个问题没有得到回答。好了，到此为止。如果我有一个 PHP 脚本并且我 GET用户输入和SELECT它来自 mySQL 数据库

首页

博学

6Ren·AI

商城

php - 使用 PHP 表单进行数据库输入清理